국회와 정부가 지난해 연이은 해킹 사태로 드러난 제도적 허점을 보완하기 위해 동시에 움직였다. 핵심은 여야가 발의한 20여 개 법안을 통합한 정보통신망법 개정안 의결과, 정보보호 인증제 전반의 실효성 강화다.

25일 국회에 따르면 이번에 통과된 정보통신망법 개정안은 해킹 사고의 예방부터 대응, 사후 제재까지 전 과정을 강화하는 데 초점을 맞췄다. 특히 사고 발생 시 통지·조사·제재 체계를 대폭 손질하고, 그간 논란이 됐던 정부의 현장조사 권한을 명문화했다.

개정안은 해킹 사고 정황이 있을 경우 기업 신고 이전에도 정부가 현장조사에 착수할 수 있도록 했다. 조사 과정에서 자료 제출을 거부하거나 허위로 제출하는 경우, 현장조사를 방해하거나 시정명령을 이행하지 않을 경우에는 이행강제금을 부과할 수 있다. 이행강제금은 하루 기준 평균 매출액의 0.03% 범위에서 부과된다. 자료 보전 의무 위반에 대한 처벌도 기존 2년 이하 징역 또는 2000만원 이하 벌금에서 5년 이하 징역 또는 5000만원 이하 벌금으로 강화됐다.

아울러 정보통신서비스 제공자가 고의 또는 중과실로 5년 내 2회 이상 침해사고를 일으킬 경우, 매출액의 3% 이하 범위에서 과징금을 부과할 수 있도록 했다. 이는 오는 9월 시행 예정인 개인정보보호법 개정안의 징벌적 과징금(최대 매출액의 10%)과는 별도의 규율이다.

정부는 인증제 개선도 동시에 착수했다. 과학기술정보통신부와 개인정보보호위원회는 한국인터넷진흥원(KISA), 금융보안원 등과 함께 ISMS·ISMS-P 인증제 실효성 강화를 위한 현장 간담회를 열고 제도 개선 방향을 공개했다.

ISMS-P는 기업이나 기관이 정보보호와 개인정보보호를 체계적으로 관리·운영하는지를 평가하는 국가 공인 인증제다. 다만 지난해 대형 해킹 사태 당시 인증 기업에서도 사고가 발생하면서 실효성 논란이 불거진 바 있다.

정부는 ▲인증 의무대상 확대 및 기준 강화 ▲예비심사 도입과 기술심사·현장실증형 심사 적용 등 심사방식 개편 ▲유출사고 방지를 위한 사후관리 강화 ▲심사기관 감독 강화 및 심사원 전문성 제고 등을 주요 개선 과제로 제시했다.

앞서 개인정보보호위원회는 반복적이거나 중대한 개인정보 유출 기업에 대해서는 정부가 전체 매출액의 최대 10%까지 징벌적 수준의 과징금을 부과하고 대표(CEO)와 개인정보보호책임자(CPO)의 책임을 강화하는 내용을 담은 개인정보보호법 개정안을 10일 공포했다.

개인정보보호위원회 관계자는 "전 분야를 대상으로 한 실태점검 체계를 마련할 예정"이라며 "기업들이 책임성을 기반으로 자율적 예방에 나설 수 있도록 유도하겠다"고 밝혔다.

이 같은 입법·정책 동시 추진은 지난해 연이어 발생한 대형 해킹 사고의 영향이 크다. SK텔레콤을 비롯해 롯데카드, KT, 쿠팡 등 주요 기업들이 잇따라 침해사고를 겪으며 수백 명에서 수천만 명에 이르는 개인정보 유출이 발생했다. 일부 기업에서는 초기 조사 방해 의혹까지 제기됐고, 사고 기업 대부분이 ISMS-P 인증을 보유하고 있었다는 점도 비판을 키웠다.

전문가들은 기존의 사후 제재 중심 체계를 사전 예방 중심으로 전환해야 한다고 지적한다.

김도승 전북대 법학전문대학원 교수는 "ISMS-P 인증이 보안 관리체계 구축을 유도하는 기능을 갖고 있지만, 기준 충족 자체가 목표가 되면서 형식적 준수에 그칠 위험이 있다"며 "체크리스트형 규제, 억지력 한계, 중소기업 현실, 인공지능(AI) 환경의 복잡성을 고려할 때 사후 제재 중심 모델만으로는 개인정보 위험을 충분히 관리하기 어렵다"고 말했다.